Bu Help Net Security röportajında, Claroty’de Baş Strateji Sorumlusu olan Grant Geyer, OT ortamlarındaki Windows tabanlı mühendislik iş istasyonlarında (EWS) ve insan-makine arayüzlerinde (HMI) yaygın güvenlik açıklarını ele alıyor. Geyer ayrıca kritik OT varlıklarına uzaktan erişimi güvence altına almanın zorluklarını ve çözümlerini de ele alıyor.
OT ortamlarındaki Windows tabanlı mühendislik iş istasyonlarında (EWS) ve insan-makine arayüzlerinde (HMI) en yaygın güvenlik açıkları nelerdir?
Sorunun kapsamını güvenlik açıklarından ifşalara genişletmemiz kritik önem taşıyor. Açıklayayım: Tanıma göre NIST, bir CVE’yi “hesaplama mantığındaki (örneğin kod) bir zayıflık…” olarak tanımlar. Bu tanıma göre, OT varlıklarında yaygın olarak bulunan kolayca istismar edilebilir zayıflıkların tüm sınıfları hariç tutulur. Bazı örnekler arasında zayıf & kimlik bilgileri, sabit kodlu kimlik bilgileri ve açık metin iletişimi bulunur.
Sorunu daha da can sıkıcı hale getiren şey, birçok HMI ve EWS’nin Windows işletim sisteminde çalışması ve tasarım gereği yıllar ila on yıllar arasında ölçülen eskime sürelerine sahip olmasıdır; bu, işletim sisteminin planlanan ömrünün çok ötesindedir. Bu nedenle, OT ortamlarında son derece savunmasız olan ve yama uygulanamayan Windows 7 veya XP sistemleri bulmak alışılmadık bir durum değildir; bu da onları istismara açık hale getirir. Hala desteklenen bu sistemler genellikle önemli bir kesinti olmadan kolayca güncellenemeyen veya yama uygulanamayan kritik uygulamalar çalıştırır ve bu da güvenlik açıklarının giderilmeden kalmasına neden olur.
Riski vurgulamak gerekirse: CISA Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’ndaki 1.134 güvenlik açığının %25’inden fazlası Windows işletim sistemlerine dayanmaktadır ve bu eski işletim sistemleri siber suçluların ve yabancı aktörlerin açık ara favorisi haline gelmiştir.
Bir saldırganın bir EWS veya HMI üzerinde kontrol elde etmesinin potansiyel etkisini açıklayabilir misiniz?
Bir saldırgan bir EWS veya HMI üzerinde kontrol elde ederse, sonuçları ciddi ve çok yönlü olabilir. Bu sistemler üzerindeki kontrol, bir saldırganın kritik süreçleri manipüle etmesine, potansiyel olarak üretim kesintilerine neden olmasına veya operasyonları tamamen durdurmasına olanak tanır.
Geçtiğimiz ay gerçekleşen bir olayı ele alalım. Claroty’nin Team82’si, İranlı Handala hack grubunun, üretim uygulamaları için entegre bilgisayar destekli tasarım ve bilgisayar destekli üretim (CAD/CAM) çözümleri sağlayan önde gelen bir sağlayıcıya karşı gerçekleştirdiği iddia edilen bir hack’ten haberdar oldu. Verileri sızdırma iddialarına ek olarak, Handala, yazılımı kullanan herhangi bir kuruluşa karşı tedarik zinciri saldırısı potansiyeli yaratacak şekilde CAD/CAM yazılımının mevcut sürümlerine arka kapılar yerleştirdiğini iddia ediyor.
Grup, faaliyetleri ile son zamanlardaki makine kazaları ve patlamaları arasında bir bağlantı olduğunu ileri sürerek daha da ileri gitti. Claroty iddialarının doğru olduğuna dair hiçbir kanıt görmese de, bunun gibi bir arka kapı, CAD/CAM yazılımını üretim ve metal kesme operasyonları için kullanan endüstriyel müşteriler üzerinde önemli bir etkiye sahip olabilir. Bir arka kapı saldırganların sisteme erişmesine olanak sağladıysa, bir saldırgan uzaktan şunları yapabilir:
- Hedefin iş modeline bağlı olarak ulusal güvenlik veya ticari sonuçlar doğurabilecek tescilli tasarımları sızdırmak.
- Üretilen ürünlerin son kullanıcıları için güvenlik etkileri yaratabilecek sistem tasarımlarında değişiklikler yaratın.
- Ekipmana sabotaj yaparak üretim sürekliliğini etkileyebilir ve potansiyel olarak tesis çalışanları için güvenlik sorunları yaratabilir.
Özellikle EWS ve HMI’lar için uzaktan ve üçüncü taraf erişime olan bağımlılığın artması göz önüne alındığında, kuruluşlar OT ağlarının güvenliğini nasıl sağlayabilir?
Endüstriyel organizasyonlar için, birinci ve üçüncü tarafların bakım yapması için uzaktan erişimden yararlanarak daha hızlı ortalama onarım süresinin sağlanmasının açık bir faydası vardır. Ancak, uygun şekilde güvence altına alınmazlarsa saldırganlar OT ortamına saldırmak için sanal ön kapıdan içeri girebilirler. Claroty yakın zamanda yaptığı bir analizde, örneklenen HMI’ların ve EWS’nin %13’ünün güvenli olmayan bir internet bağlantısına sahip olduğunu ve bunların %36’sının en az bir Bilinen İstismar Edilen Güvenlik Açığı (KEV) içerdiğini buldu, bu da onları hem uzaktan erişilebilir hem de tehdit aktörlerinin operasyonları aksatmak için kolayca istismar edilebilir giriş noktaları haline getiriyor.
Bu gerçekten endişe verici olsa da, pazarda OT ortamlarının operasyonel, çevresel ve risk toleransı kısıtlamalarıyla uyumlu, güvenli kullanıcı-makine iletişimlerini etkinleştirmek için özel olarak tasarlanmış çözümler mevcuttur. Bunun özünde, güvenlik ve operasyonel riskler nedeniyle, bir OT varlığına yapılan her bağlantının ayrıcalıklı olması gerektiğini unutmamalıyız. Ek olarak, kuruluşların tüm birinci ve üçüncü taraf mühendisler için en az ayrıcalıklı erişimin uygulanmasını sağlamaları gerekir. Bir kimlik yönetimi programı aracılığıyla erişim izinlerini düzenli olarak denetlemek ve incelemek, gereksiz veya güncel olmayan erişim haklarını belirlemeye ve kaldırmaya yardımcı olarak saldırı yüzeyini azaltır.
Daha önce izole edilmiş OT varlıkları giderek daha fazla genel ağlara bağlanıyor. Bu eğilimin arkasındaki itici faktörler nelerdir ve etkileri nelerdir?
Daha önce izole edilmiş OT varlıklarını genel ağlara bağlama eğilimi, gerçek zamanlı veri analizi, uzaktan yönetim, operasyonel verimlilik ve iyileştirilmiş karar alma ihtiyacı gibi çeşitli faktörler tarafından yönlendirilir. Gerçek zamanlı veri toplama ve analizi, kuruluşların süreçleri optimize etmesini, bakım ihtiyaçlarını tahmin etmesini ve genel üretkenliği iyileştirmesini sağlar.
Uzaktan yönetim yetenekleri, OT sistemlerinin her yerden izlenmesini ve kontrol edilmesini sağlayarak, yerinde personel ihtiyacını azaltır ve sorunlara daha hızlı yanıt verilmesini sağlar. Ancak, bu artan bağlantı aynı zamanda önemli sonuçlar da getirir. OT ve BT ağlarının entegrasyonu, saldırı yüzeyini genişleterek OT sistemlerini geleneksel olarak BT ortamlarını hedef alan siber saldırılara karşı daha savunmasız hale getirir. Bu birleşme, kritik altyapıyı karmaşık saldırılardan korumak için gelişmiş güvenlik önlemlerini gerektirir.
Herhangi bir organizasyonun yapabileceği en önemli eylem, OT saldırı yüzey alanını anlamak ve telafi edici kontrolleri yönlendirerek veya uygulayarak içsel riski azaltmak için amaçlı eylemlerde bulunmaktır. Olay tespit programları tam da bu noktada devreye girer – masadan kaldırılamayan kalıntı risk etrafında etkili izleme sağlamak için.
Görev açısından kritik öneme sahip OT varlıklarına uzaktan erişim sağlamanın gelecekteki zorlukları ve fırsatları nelerdir?
Görev açısından kritik OT varlıklarına uzaktan erişimi güvence altına almanın iki büyük zorluğu, OT varlığına bağlanması gereken bir kullanıcı mı yoksa bir makine mi olduğuna bağlı olarak farklılık gösterir. Kullanıcı erişimi açısından temel zorluk, siber güvenlik ekibinin varlıkların ne olduğunu ve kullanıcıların kim olduğunu bilmemesidir. İşte OT mühendislerinin bilgisinin – varlıkların envanteriyle birlikte – devreye girdiği yer burasıdır.
Güvenlik ekibi, kurumsal savunmaları desteklemek için “birinci savunma hattı” olarak çalışmak üzere OT mühendislerinin envanterini, deneyimini ve bilgisini kullanabilir. Makineden makineye erişimle ilgili olarak, kuruluşlar genellikle bu varlıklar arasında “bilinen iyi” trafiğin nasıl görünmesi gerektiği konusunda bir anlayışa sahip değildir. Bu anlayış bilgisi olmadan, anormallikleri temel çizgiden tespit etmek imkansızdır.
İşte bu noktada iyi bir siber-fiziksel sistem koruma platformu devreye giriyor ve tipik iletişim modellerini anlama yeteneği sunarak, sonunda ağ segmentasyon kurallarında işlevsel hale getirilerek etkili güvenliğin sağlanmasına olanak sağlıyor.